Espion de sécurité Sujets et des entités de sécurité
Jesper M. Johansson
Contenu
Le tuple objet/objet/action
Types d'entités de sécurité
Services
Conclusion
Niveau à la plus simple, tous les éléments de sécurité revient à sujets et des objets. Objets sont les éléments à protéger et objets sont les éléments que vous protéger des objets de. Ces deux structures sont utilisées dans l'authentification (prouver qui vous êtes), d'autorisation (accès à un élément termes d'attribution) et d'audit (suivi qui accessible que). Fondamentalement, ces concepts sont très simples, comme illustré figure 1 .
.gif)
Figure 1 un utilisateur tente lire un fichier
Sujets sont des choses que faire les choses, alors qu'objets sont les éléments qu'ils les. En outre, parfois, les objets sur les sujets effectuer les opérations sont autres sujets.
Windows prend en charge une sémantique immensely enrichi lorsqu'il est fourni à la sécurité et a largement étendu les définitions des objets et les objets. Un objet peut être beaucoup plus qu'un utilisateur, et la représentation est beaucoup plus complexe que simplement un identificateur d'utilisateur de base.
Dans le vocabulaire de Windows, une entité de sécurité contient non seulement le type objet (ce que vous devez considérer comme un utilisateur) mais également groupes et ordinateurs. Une entité de sécurité est tout ce qui peut être affecté un identificateur de sécurité (SID) et autorisé à accéder à un élément.
Dans cet article de la sécurité espion, je fais une présentation représentation des sujets et utilisés dans Windows.
Le tuple objet/objet/action
Gérer la sécurité très souvent revient à l'objet/objet/action tuple. Le sujet est l'acteur tente d'exécuter une action sur un objet. Par exemple, un utilisateur peut essayez d'accéder à un fichier, comme illustré figure 1 . Lorsqu'un utilisateur tente de lire le fichier, le système d'exploitation doit vérifier si les autorisations sont paramétrées sur l'objet (fichier) qui permet à l'objet (utilisateur) pour effectuer l'action (lecture) sur cet objet particulier. Si les autorisations sont dans ordre, la demande d'accès réussit. Si les autorisations ne sont pas dans l'ordre, la demande d'accès est refusée. Jusqu'ici, ceci est tout très simple.
Incident est important
Dans la documentation de Windows, lorsque vous voyez les mots « administrateur » ou « administrateurs » avec une majuscule « A », cela signifie généralement l'utilisateur ou le groupe, respectivement. Lorsque vous voyez qu'il apparaît dans tous les minuscules, « administrateur », il fait référence à certaines compte d'utilisateur ou de la personne qui dispose des privilèges d'administration. La même contient les autres entités, telles que « invité et invité.
Types d'entités de sécurité
Sujets — ou entités de sécurité, comme je doit désormais y faire référence, dans un système Windows et par extension un réseau Windows, peuvent être beaucoup plus que les utilisateurs. Cependant, l'utilisateur est toujours le concept de base.
Les utilisateurs Un utilisateur est une entité distincte qui se connecte à un ordinateur. Fondamentalement, toutes les entités de sécurité sont au moins un peu liées aux utilisateurs. Dans Windows, il peut y avoir deux types d'utilisateurs : local et le domaine. Un utilisateur local est défini dans la base de données Gestionnaire de comptes de sécurité (SAM) local sur un ordinateur. Chaque ordinateur basés sur Windows dispose d'un local SAM, qui contient tous les utilisateurs sur cet ordinateur.
Il est souvent pensé que les contrôleurs de domaine (DC) ne possède pas une SAM locale et utilisateurs et donc non locaux. Ceci, cependant, est incorrect. Même un contrôleur de domaine a une SAM locale, mais les comptes dans le Gestionnaire de comptes de sécurité peuvent uniquement être utilisés en mode Restauration des services d'annuaire.
Le Gestionnaire de comptes de sécurité local contient toujours au moins deux comptes d'utilisateur : l'administrateur de l'invité et le compte invité est toujours désactivé par défaut.
Sur toutes les versions de Windows Server 2008 (avec l'exception de Windows Small Business Server 2008), le compte administrateur est activé par défaut et vous devez utiliser ce compte de la première fois que vous ouvrez une session sur l'ordinateur. Sur Windows Vista, le compte administrateur est désactivé par défaut et ne peut être utilisé que dans des circonstances très restrictifs.
Dans les deux cas, vous devez créer au moins deux comptes pour chaque personne qui gère un ordinateur donné. Si vous êtes soumis à presque tout type de réglementation (et vous êtes probablement), ceci est un impératif. Pour chaque utilisateur, un compte doit être le compte d'utilisateur personnel d'administration. Le autre compte est compte non administratifs personnel l'utilisateur pour les tâches non-administrateurs administratifs.
Les utilisateurs qui sont non locaux sont des utilisateurs du domaine Ces utilisateurs sont définis sur les contrôleurs de domaine pour le domaine. La différence entre les comptes locaux et de domaine est principalement la portée de comptes. Domaine comptes peuvent être utilisés sur tout ordinateur dans le domaine tandis que les comptes locaux sont valide uniquement sur l'ordinateur sur lequel ils sont définis. En outre, les comptes de domaine peuvent avoir un nombre beaucoup plus volumineuses de propriétés associées avec les par rapport à un ordinateur local (voir figures 2 et 3 pour la comparaison) du compte.
.gif)
La figure 2 fenêtre Propriétés pour un compte local
.gif)
La figure 3 fenêtre Propriétés pour un compte de domaine
Comptes de domaine avoir un ensemble plus riche de sémantique, couvrant une variété d'attributs dans un environnement d'organisation, tel que les numéros de téléphone, Gestion des relations et comptes de messagerie. Comptes de domaine sont également beaucoup plus utiles dans un réseau car ils peuvent être utilisées et affectées les autorisations sur les ordinateurs sur le réseau. En outre, définir des comptes dans le domaine simplifie gestion à mesure que maintenant vous n'avez à gérer des comptes en un seul endroit.
ordinateurs Un ordinateur est juste un autre type d'utilisateur. Dans Active Directory, Ceci est particulièrement vrai et est par les par le modèle d'héritage. La structure de l'héritage menant à un ordinateur est décrit dans la figure 4 .
.gif)
La figure 4, la hiérarchie d'héritage dans Active Directory indiquant comment les utilisateurs et ordinateurs sont liés
Il y a plusieurs choses très intéressants illustrées figure 4 . Tout d'abord, comme vous pouvez le voir, toutes les classes dans Active Directory dériver d'une classe racine appelée haut. En fait, même supérieure est considérée comme une sous-classe de haut. Ensuite, la classe d'utilisateurs est dérivée de la classe organizationalPerson. Troisième (et c'est le plus intéressant point), la classe de travail est dérivée de la classe d'utilisateurs. En d'autres termes, en langage orienté objet, un ordinateur est un type d'utilisateur. Anthropomorphizing ordinateurs de cette manière fait fait beaucoup de sens, cependant, car ordinateurs doivent être considérés comme des sujets ainsi et avoir presque les mêmes attributs comme une personne.
groupes Un objet, vous rappeler, est un élément qui tente d'accéder à un objet. Le système d'exploitation vérifie cette tentative d'accès en contrôlant les autorisations de l'objet. Très tôt sur concepteurs de système d'exploitation réalisé qu'il serait très difficile pour affecter des autorisations à chaque objet unique pour chaque utilisateur unique qui il nécessaires. Pour résoudre ce problème, les concepteurs autorisée aux utilisateurs d'être membres des groupes. Cela permet d'affecter des autorisations à des groupes en outre aux utilisateurs.
Un groupe peut ne pas être un utilisateur, mais un groupe est toujours un type d'entité de sécurité car il peut avoir un identificateur, tout comme les utilisateurs et ordinateurs. Dans Windows, un utilisateur peut être un membre de plusieurs groupes et un objet peut avoir des autorisations affectées à plusieurs groupes. Des groupes imbriqués sont également autorisés, avec certaines restrictions.
Un contrôleur de domaine non possède seulement deux types de groupes, des groupes intégrés et des groupes locaux qui l'administrateur a défini. Dans Active Directory, cependant, vous trouverez six différents types de groupes de sécurité : les groupes intégrés de domaine local, les groupes globaux intégrés groupes Universal intégrés, les groupes définis par l'utilisateur de domaine local, groupes globaux définis par l'utilisateur et groupes Universal définis par l'utilisateur.
Domaine local groupes peuvent uniquement être affectés autorisations à des ressources dans le domaine où ils sont définis. Ils peuvent, cependant, contenir les utilisateurs, groupes universels et globaux de n'importe quel domaine approuvé ou la forêt et groupes de domaine local de leur propre domaine.
Un groupe global peut contenir uniquement des utilisateurs et groupes globaux du domaine dans lequel il a été défini, mais il est affecté des autorisations aux ressources dans tout domaine de la forêt du domaine est partie ou toute forêt autorisé à approuver.
Un groupe universel peut contenir des utilisateurs et groupes universels et globaux de n'importe quel domaine. Un groupe universel peut être affecté autorisations à des ressources dans n'importe quel domaine autorisé à approuver ou la forêt. En d'autres termes, un groupe universel est un type de hybride entre les groupes de domaine local et global.
Pendant une station de travail est fourni avec uniquement deux groupes par défaut, les administrateurs et les invités, un domaine est fourni avec un grand relativement nombre, de tous les trois types. la figure 5 montre les groupes par défaut dans un domaine. Tous sont désignés comme groupes de sécurité, ce qui signifie qu'ils peuvent recevoir des autorisations. (Groupes de sécurité doivent être différent des groupes de distribution, qui sont utilisés par Microsoft Exchange Server pour les utilisateurs de groupe dans les listes de courrier électronique. Les deux sont définis dans Active Directory.) Les groupes locaux qui existent sur tous les ordinateurs équipés de Windows sont définis dans Active Directory sur les contrôleurs de domaine.
La figure 5 par défaut des groupes définis dans le conteneur utilisateurs dans Active Directory
Comme les contrôleurs de domaine, des contrôleurs de domaine non ont grand nombre de groupes ainsi. figure 6 montre les groupes intégrés 16 sur un ordinateur de test. Le nombre exact de groupes sur n'importe quel ordinateur donné est diffèrent selon les rôles que vous avez installé sur cet ordinateur.
La figure 6 groupes intégrés sur un contrôleur de domaine non (cliquez sur l'image pour l'agrandir)
Si vous étiez tente d'attribuer des autorisations à un objet, vous devez trouver encore plus groupes que ce que J'AI ont montré jusqu'à présent. En fait, sur un contrôleur de domaine base vous ne pouvez d'identifier aucun moins 63 groupes et des entités de sécurité intégrée, illustrées à la figure 7 .
La plupart des groupes de 63 illustrés à la figure 7 sont abstraites concepts, qui sont parfois appelés « identités spéciales » qui représentent un groupe dynamique d'entités de sécurité. Ils sont également parfois également appelés groupes d'ouverture de session.
groupes d'ouverture de session Groupes d'ouverture de session sont des groupes qui représentent un aspect dynamique d'un titre principal, tels que la façon dont un utilisateur ou autre entité de sécurité est connecté. Par exemple, le groupe INTERACTIVE illustré figure 7 inclut tous les utilisateurs qui connectés à la console de l'ordinateur et via les services Terminal Server. En revanche, le groupe de réseau inclut tous les utilisateurs qui connectés via le réseau. Par définition, un utilisateur peut uniquement être un membre d'un de ces groupes à la fois et l'appartenance à leur est affectée en temps d'ouverture de session. Vous pouvez utiliser ces groupes pour accorder des autorisations à tous les utilisateurs ouvrir une session sur une certaine façon, mais vous ne pouvez pas contrôler qui devient un membre de ces groupes.
La figure 7 un contrôleur de domaine base ne comporte aucun moins 63 groupes et les entités de sécurité intégrées
Il existe d'autres groupes de cette nature. En particulier sont le groupe Tout le monde et le groupe Utilisateurs authentifiés. Le groupe Tout le monde inclut, comme son nom l'indique, tous les utilisateurs l'accès à cet ordinateur, avec l'exception qui, commençant par Windows XP, complètement anonyme non authentifiés d'utilisateurs ne sont pas inclus. En d'autres termes, l'utilisateur nul célèbres ne figure pas dans tout le monde sur un pris en charge système de d'exploitation Windows. Les invités sont incluses, cependant.
Le groupe Utilisateurs authentifiés, tandis que également remplie dynamiquement, inclut uniquement les utilisateurs qui sont authentifiés en fait. Par conséquent, les invités ne figurent pas dans utilisateurs authentifiés. Qui est la seule différence entre ces deux groupes. Mais depuis le seul compte invité qui existe sur le système d'exploitation est désactivé, il n'existe aucune différence fonctionnelle entre utilisateurs authentifiés et tout le monde sauf si vous avez pris des étapes manuelles pour activer le compte invité, dans ce cas, sans doute, vous souhaitez que les invités pour pouvoir accéder aux ressources et par conséquent doivent tout le monde grouper intactes.
En dépit du, beaucoup d'administrateurs ont perdu nombre d'heures de veille sur le fait que « tout le monde dans le monde dispose autorisations sur mon serveur » et ont prises très radicale étapes pour modifier les autorisations pour résoudre ce problème. En règle générale ces modifications des résultats désastreux complètement. Vous ne devez aucune raison fasse tentez de remplacer des autorisations pour tous les utilisateurs authentifiés. Soit vous invités pour que les autorisations sur votre ordinateur et vous activez le compte invité, ou vous ne le faites pas et vous laissez le compte Invité désactivé. Si vous souhaitez invités pour que les autorisations, vous devez les autorisations pour tout le monde. Si vous ne le faites pas, le groupe Tout le monde ne sera pas diffèrent des utilisateurs authentifiés.
Certaines personnes dire que ces modifications sont modifications « défense en profondeur ». Ce serait true si vous définissez « défense en profondeur » comme « modifications que vous ne pouvez pas justifier une autre manière ». Le fait est que ces modifications permettre peu ou pas Amélioration de sécurité tout en un très grand risque de stockage. N'y touchez pas les valeurs par défaut.
Si cet argument n'était pas suffisamment persuasive, J'AI dirigera vers (article 885409 de base de connaissances Microsoft. « Configuration de sécurité conseils support »). Il indique en bref, que remplacement des autorisations en gros pouvez annuler votre contrat de support technique. Lorsque vous effectuez que, vous créez en fait votre propre système d'exploitation et Microsoft peut ne plus garantir qu'il fonctionne.
Il est également important de souligner la différence entre des utilisateurs, qui est un groupe prédéfini et les utilisateurs authentifiés. La différence est le fait plutôt évident que les utilisateurs authentifiés inclut chaque utilisateur est authentifié sur l'ordinateur, notamment les utilisateurs dans différents domaines, les utilisateurs membres des groupes locaux autres que les utilisateurs et utilisateurs qui ne sont pas membres des groupes de n'importe quel tout (Oui, telle une chose est possible). Cela signifie que le groupe utilisateurs est beaucoup, beaucoup plus restrictif que les utilisateurs authentifiés.
En dépit de ce fait, j'ai vu organisations détruire leurs réseaux tente de remplacer les autorisations pour les utilisateurs avec des autorisations pour Authenticated Users dans une tentative « renforcer leurs systèmes ». J'AI ont argued endlessly avec stupides auditeurs PCI/DSS prétend que l'industrie de carte de paiement, vous devez remplacer toutes les autorisations pour les utilisateurs par les utilisateurs authentifiés. Cela simplement n'est pas vrai.
J'AI ont également defended organisations dans le monde de consultants qui semble afficher remplacement de liste (ACL) contrôle l'accès en gros comme un excellent moyen de rayon des heures facturables. Il va sans dire que vous pouvez vous attendre toute tentative pour du remplacement des utilisateurs ou tout le monde avec des utilisateurs authentifiés principalement en échec par rapport à la sécurité et de stabilité vente en gros.
Services
Windows Vista et Windows Server 2008 prennent en charge un nouveau type de sécurité principal : un service. Pour comprendre comment ces entités sont précieuses, pensez au débat en cours sur les pare-feu basés sur l'hôte. Plusieurs personnes, pris en charge supprimez par les fournisseurs de vendre les produits, dire que pare-feu basé sur l'hôte doit filtrer le trafic sortant devant être utile car cela protège le reste du réseau à partir d'un ordinateur compromis. Enfant plus objectif soulignez le fait que si un ordinateur est compromis, le logiciel malveillant est déjà présent sur l'ordinateur et par conséquent le logiciel malveillant a la possibilité d'ignorer ou de désactiver le pare-feu basé sur l'hôte entièrement.
Pour comprendre pourquoi c'est le cas, envisagez deux services s'exécutant en tant que principal de sécurité même. UN service est autorisé à communiquer à travers le pare-feu, le service B n'est pas. Si service B est compromis, l'utilisateur malveillant peut contourner cette restriction simplement en tirant sur un autre processus Exécution en tant que ce principal sécurité, un service, pour l'instance et de communiquer à partir ce processus à la place.
Pour résoudre ce problème, Microsoft avait besoin permet d'appliquer des autorisations à un processus, ou plus précisément, à un service. Pour cela, services est devenu entités de sécurité dans leur propre droit. Et par conséquent, chaque service a désormais un identificateur pouvant être utilisé pour appliquer les autorisations par rapport à. Vous pouvez exécuter la commande « sc showsid » à partir de la ligne de commande pour voir le SID de service pour n'importe quel service.
Avec les SID de service, vous pouvez limiter l'accès aux ressources pour les processus spécifiques, par opposition à restreindre l'accès à des utilisateurs spécifiques uniquement. Cette modification transforme filtres de pare-feu basé sur l'hôte sortant explicite, dans certaines situations. La nature exacte de ces situations est abordée dans cette discussion, mais si vous êtes intéressé par lecture plus d'informations sur cette, je vous suggère que vous lisez l'article, J'AI écrit sur le pare-feu Windows Vista dans le numéro de juin 2008 de TechNet Magazine (voir « Gestion du pare-feu Windows Vista »).
Conclusion
Entités de sécurité underlie, partie sécurité de Windows il est essentiel pour n'importe quel administrateur afin d'avoir au moins une connaissance élémentaire de comment les divers types d'entités de sécurité fonctionnent et comment ils sont utilisés. Uniquement en comprendre ces sujets pouvez vous efficacement créer une stratégie de sécurité qui utilise efficacement ces entités de sécurité. Cette connaissance sera très pratique lorsque résister à arguments inutile des personnes ne pas soigneusement comprendre les entités de sécurité et pensez pouvoir endanger la santé de votre réseau avec les modifications inappropriées et inutiles.
Cette rubrique est basée sur les matières dans mon livre Windows Server 2008 Security Resource Kit (Microsoft Press) .
Jesper M. Johansson est architecte de sécurité principal pour une société entreprises classées dans Fortune 200 connue, travaillant sur la sécurité en fonction de risques vision et stratégie de sécurité. Il participe également à TechNet Magazine. Son travail se compose de garantir la sécurité dans des systèmes plus grands, plus distribués dans le monde. Il contient un Dr. dans Gestion des informations systèmes, a plus de 20 ans expérience de sécurité, est un MVP dans la sécurité d'entreprise. Son dernier ouvrage est le Kit de ressources de sécurité Windows Server 2008.